מתקפה רוסית: קבוצת ההאקרים החדשהSilence תוקפת ארגונים פיננסים
מאת:
מערכת Telecom News, 10.11.17, 02:00
היא מצטרפת לרשימת קבוצות התקיפה ההרסניות והמורכבות ביותר, בה חברות Metel ,GCMAN ו-Carbanak, שביצעו גניבות של מיליוני דולרים מגופים פיננסים. המתקפות נמשכות. כיצד פועל הטרויאני Silence?
בספטמבר 2017 זיהו חוקרי מעבדת קספרסקי סדרת התקפות ממוקדות נגד 10 ארגונים פיננסים לפחות במספר אזורים, לרבות רוסיה, ארמניה ומלזיה. הפגיעות בוצעו ע"י קבוצה חדשה בשם
Silence, שמפעילה מספר טכניקות הדומות לגורם איום מוכר אחר - קבוצת
Carbanak. המתקפות עדיין נמשכות.
Silence מצטרפת לרשימת קבוצות התקיפה ההרסניות והמורכבות ביותר, בה חברות
Metel ,GCMAN ו-
Carbanak, שביצעו גניבות של מיליוני דולרים מגופים פיננסים.
רוב תקיפות הסייבר האלו מתבססות על טכניקה מסוימת: השגת גישה קבועה לרשתות בנק פנימיות למשך תקופות ארוכות, ניטור של הפעילות היומיומית, למידת הפרטים של כל רשת בנק נפרדת, וכשהזמן המתאים מגיע, שימוש בידע שנצבר כדי לגנוב כסף רב ככל הניתן.
זהו גם המקרה של הטרויאני
,Silenceשחודר לתשתית הקורבן דרך מתקפת פישינג ממוקדת. הקבצים הזדוניים המצורפים להודעות הפישינג הם מתוחכמים למדי, וברגע שהקורבן פותח אותם, נדרשת בדיוק הקלקה אחת כדי להפעיל רצף של הורדות, ובסופו של דבר, הפעלה של המטען.
באמצעות התקשורת הנוצרת עם שרת הפיקוד והשליטה נשלח ה-
ID של המכונה הנגועה, מתבצעת הורדה והפעלה של המטען הזדוני, וניתן לבצע מספר משימות, כגון הקלטת המסך, העלאת נתונים, גניבת הרשאות, שליטה מרחוק ועוד.
מעניין לציין, שהעבריינים מנצלים את התשתית של הגופים הפיננסים, שכבר הודבקו, כדי ליזום התקפות חדשות, כשהם שולחים הודעות מכתובות של עובדים אמתיים לקורבן הבא, יחד עם בקשה לפתוח חשבון בנק. באמצעות שיטה זו, העבריינים מבטיחים, שמקבל ההודעה לא יחשוד בהדבקה שבוצעה.
כאשר עברייני סייבר משיגים גישה קבועה לרשת הם מתחילים לחקור אותה. קבוצת
Silence מסוגלת לנטר את פעילות הקורבן, כולל ביצוע צילומים של מסך הקורבן, הזרמה של וידאו בזמן אמת של כל פעילויות הקורבן, ועוד. כל המאפיינים משרתים מטרה אחת: להבין את שגרת הפעילות היומית של הקורבן, ולהשיג מידע מספיק שיאפשר לו בסופו של דבר לגנוב כסף. תהליך מסוג זה דומה מאוד לטכניקה של
Carbanak.
בהתבסס על ממצאי שפה, שאותרו במהלך המחקר של הרכיבים הזדוניים במתקפה זו, מסיקים חוקרי החברה, שהעבריינים מאחורי הפעילות הם דובר רוסית.
במטרה להגן על עצמם ממתקפות סייבר, מומלץ לארגונים לנקוט באמצעים הבאים:
- להשתמש בפתרון ייעודי כנגד איומים מתקדמים, שיכול לזהות את כל סוגי החריגות ולחקור קבצים חשודים ברמה עמוקה יותר, כדי לחשוף ולזהות התקפות מורכבות.
- לחסל לחלוטין פערים באבטחה, כולל הגדרות תצורה שגויות או שגיאות באפליקציות שונות. לשם כך, פתרון נוח ואפקטיבי מאוד הוא השירות המספק לא רק נתונים לגבי פרצות שנחשפו, אלא גם מייעץ למשתמשים כיצד לתקן אותן, ובכך מוסיף חוזקה לאבטחת הארגון.
- להגדיר חוקים קשיחים לעיבוד דואר אלקטרוני, ולהפעיל פתרונות אבטחה עם יכולות ייעודיות כנגד פישינג, קבצים זדוניים מצורפים וספאם.
סרגיי לוצקין, מומחה אבטחה במעבדת קספרסקי: "הטרויאני
Silence הוא דוגמה נוספת למעבר של עברייני הסייבר ממתקפות על משתמשים למתקפות ישירות על בנקים. אנו רואים, שיותר ויותר פושעי סייבר עוברים להתקפות בסגנון
APT. מה שמאוד מדאיג הוא, שכתוצאה מהפעילות בצללים, התקפות אלו יכולות להצליח ללא קשר לארכיטקטורה השונה של כל בנק".
מידע נוסף -
כאן.